Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Gyakorlati tanácsok és útmutató a szolgáltatások egyedi hozzáférés-szabályozási listáinak elkészítéséhez

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
A szolgáltatások egyedi hozzáférés-szabályozási listái (DACL-jei) a munkaállomások és kiszolgálók biztonsági rendszerének fontos összetevői. A Microsoft Tudásbázis jelen cikke segítséget nyújt a szolgáltatásokra beállított hozzáférés-szabályozási listák értelmezésében, valamint gyakorlati tanácsokkal szolgál a hozzáférés-szabályozási listái készítőinek a programok biztonságának fejlesztéséhez és felméréséhez.
BEVEZETÉS
A Microsoft Tudásbázis jelen cikke útmutatót nyújt a szolgáltatások hozzáférés-szabályozási listáinak biztonsági szempontból való megítéléséhez.
További információ
Az adott szolgáltatáshoz beállított hozzáférés-szabályozási listák megjelenítéséhez használja az sc parancsot az sdshow paraméterrel az alábbi példában látható módon, ahol szolgáltatásnév azon szolgáltatás neve, amelynek hozzáférés-szabályozási listáit meg kívánja jeleníteni:
sc sdshow szolgáltatásnév
A parancs a következőkhöz hasonló eredményt ad:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Az sc parancs ezen példakimenete az adott szolgáltatás biztonsági leíró definíciós nyelvnek (Security Descriptor Definition Language – SDDL) megfelelő szintaxisú biztonsági leírását tartalmazza. Az SDDL szintaxisról részletesebben a Microsoft következő webhelyén olvashat:A szolgáltatások hozzáférés-szabályozási listái által nyújtott biztonság megítélésekor számos szempontot figyelembe kell venni. Az alábbi táblázat ismerteti az sc parancs eredményének és az egyes engedély-karakterláncoknak az értelmezési módját, valamint azt, hogy miként állapítható meg, hogy ki rendelkezik az adott engedéllyel.

Az egyes zárójelek közötti karakterláncok az alábbi kulcs alapján értelmezendők:
(Engedélyezve (A)/Tiltva (D);;Engedély-karakterláncok;;;A beépített fiók vagy csoport)
Az engedély-karakterláncok mindegyik kétbetűs eleme egy-egy jogot vagy engedélyt jelöl:
Betűpár Jog vagy engedély
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

A ChangeConf (DC) engedély használata alapos körültekintést igényel. A ChangeConf engedély alapján megállapítható, hogy az adott szolgáltatás ki van-e téve illetéktelen jogosultságok megszerzésén alapuló támadásoknak. Ez az engedély lehetővé teszi, hogy a jogosult belefoglalja a szolgáltatás konfigurációjába az indításkor futtatandó bináris fájlt. Hasonló óvatossággal kell eljárni a WDac (WD) és a WOwn (WO) engedély használatakor, mivel mindkét engedély kiterjeszthető a LocalSystem csoport engedélyeire. Minden esetben győződjön meg arról, hogy ilyen engedélyeket nem kapnak alacsony jogosultsági szintű felhasználók. Az alábbi táblázat felsorolja azokat az SDDL szintaxis szerinti kódokat, amelyek alapján megállapítható, hogy az adott hozzáférési engedély mely felhasználónak van megadva.
KódFelhasználó típusa
DATartományi rendszergazdák
DGTartományi vendégek
DUTartományi felhasználók
EDVállalati tartományvezérlők
DDTartományvezérlők
DCTartományi számítógépek
BABeépített (helyi) rendszergazdák
BGBeépített (helyi) vendégek
BUBeépített (helyi) felhasználók
LAHelyi rendszergazdafiók
LGHelyi vendégfiók
AOFiókfelelősök
BOBiztonságimásolat-felelősök
PONyomtatófelelősök
SOKiszolgálófelelősök
AUHitelesített felhasználók
PSÖnmaga
COLétrehozó tulajdonos
CGLétrehozó csoport
SYHelyi rendszer
PUKiemelt felhasználók
WDMindenki (World)
REReplikáló
IUInteraktív módon bejelentkezett felhasználó
NUHálózatba bejelentkezett felhasználó
SUSzolgáltatásba bejelentkezett felhasználó
RCKorlátozott kód
WRÍráskorlátozott kód
ANNévtelen bejelentkezés
SASémarendszergazdák
CATanúsítványszolgáltatások felügyelői
RSTávelérési kiszolgálócsoportok
EAVállalati rendszergazdák
PACsoportházirend-felügyelők
RUAlias a Windows 2000 előtti rendszerek engedélyezésére
LSHelyi szolgáltatásfiók (a szolgáltatásokhoz)
NSHálózatszolgáltatás fiók (a szolgáltatásokhoz)
RDAsztal távoli felhasználói (a terminálszolgáltatásokhoz)
NOHálózatbeállítási felelősök
MUTeljesítményfigyelő felhasználói
LUTeljesítménynapló felhasználói
ISNévtelen internetes felhasználók
CYTitkosítási felelősök
OWTulajdonosi jogok SID azonosítója
RMRMS szolgáltatás

Az SDDL formátumú egyedi hozzáférés-szabályozási karakterláncok értelmezése

Az alábbiakban a cikk tetején példaként bemutatott hozzáférés-szabályozási karakterlánc értelmezését segítő információk olvashatók. A hozzáférés-szabályozó bejegyzések egyenként vannak felsorolva.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Ez a hozzáférés-szabályozó bejegyzés a következő jogokat biztosítja a helyi rendszerfióknak (SY):
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    A hozzáférés-szabályozó bejegyzés csak a helyi rendszerfiókra érvényes. Ez biztonsági szempontból azért kedvező, mert a helyi rendszerfiók eleve a legtágabb biztonsági környezet a helyi munkaállomáson, így nem áll fenn a jogosultsági szint illetéktelen megemelésének veszélye.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Ez a hozzáférés-szabályozó bejegyzés a beépített helyi rendszergazdákra (BA) vonatkozik, és az előző hozzáférés-szabályozó bejegyzéssel azonos jogokat biztosít az összes helyi rendszergazdának. Ez a bejegyzés is igen tág biztonsági környezetet biztosít a munkaállomásokon, így szintén nem áll fenn a jogosultsági szint illetéktelen megemelésének veszélye.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Ez a hozzáférés-szabályozási bejegyzés az előbbiekben említett jogokat biztosítja az összes hitelesített felhasználónak (AU).
Az iménti hozzáférés-szabályozó bejegyzés esetén az alacsony jogosultságú felhasználók – például a hitelesített felhasználók – módosíthatják a szolgáltatás konfigurációját. A konfigurációba beletartozik a szolgáltatás indításakor futtatott bináris fájl, valamint az a fiók, amely nevében a szolgáltatás fut.

A következő hozzáférés-szabályozó bejegyzés esetén például nem kapnak ChangeConf engedélyt a hitelesített felhasználók:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

Ezen hozzáférés-szabályozó bejegyzés szerint a hitelesített felhasználók (AU) csak a következő jogokat kapják meg:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Ezen jogok esetén nem áll fenn annak a veszélye, hogy illetéktelenül módosítják a felhasználói engedélyeket a Hitelesített felhasználók csoporton keresztül. A Kiemelt felhasználók (PU) csoport eleve a helyi rendszerfiók szintjére emelhető, ezért használata nem jár az engedélyek illetéktelen módosításának kockázatával. A példában a Kiemelt felhasználók csoport a Hitelesített felhasználók csoporttal azonos engedélyeket kap attól eltekintve, hogy a hitelesített felhasználók el is indíthatják a szolgáltatást (RP). A következő a Helyi rendszergazdák (BA) csoport. Ez és a következő csoport – Kiszolgálófelelősök (SO) – egyaránt a ChangeConf, WDac és WOwn engedéllyel rendelkezik. Ez azért megfelelő gyakorlat, mert a leginkább megbízható felhasználóknak a Helyi rendszergazdák vagy a Kiszolgálófelelősök csoportban kell lenniük.

A LocalSystem (SY) csoport a Kiemelt felhasználók csoporttal azonos engedélyeket kap, valamint rendelkezik leállítási (Stop) és megszakítási (Pause) joggal is. Ez nem megfelelő gyakorlat. A következő két rövid hozzáférés-szabályozó bejegyzés a szolgáltatás leállítására vonatkozó engedélyt ad a helyi és a hálózati szolgáltatásfióknak. Ez szintén helytelen, mivel mind a helyi szolgáltatások, mind a hálózati szolgáltatások tág biztonsági környezetű helyi fiókokkal futnak.

A Hálózatbeállítási felelősök (NO) csoport azonban a ChangeConf engedélyt kapja. A Hálózatbeállítási felelősök csoport a Windows XP rendszerben jelent meg annak érdekében, hogy a megbízható felhasználók teljes rendszergazdai jogosultság nélkül is módosíthassák a hálózati beállításokat. A Hálózatbeállítási felelősök csoport alapértelmezés szerint üres. A csoportot egyes esetekben hálózatbeállítási engedélyek adott felhasználóknak való megadására használják. Megadható például ez az engedély a hordozható számítógépek tulajdonosainak. A Hálózatbeállítási felelősök csoport tagjai ritkán kapnak fizikai vezérlési jogot a számítógépen. A csoport elsődleges célja azonban a teljes rendszergazdai engedélyek korlátozása, ezért ebben az egyedi hozzáférés-szabályozó listában nem tanácsos ChangeConf engedélyt adni a Hálózatbeállítási felelősök csoportnak.

Gyakorlati tanácsok

Korlátozza az egyedi hozzáférés-szabályozó listákat azokra a felhasználókra, akiknek egy adott hozzáféréstípusra van szükségük. Az alábbi jogosultságok megadásakor különös figyelemmel kell eljárni, mivel alacsony jogosultsági szintű vagy ilyen csoportba tartozó felhasználókhoz való használata lehetővé teszi a jogosultsági szint módosítását a számítógép LocalSystem fiókjára:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
A Microsoft alábbi webhelyén további információk állnak rendelkezésre a hozzáférési jogokról és engedélyekről:
Tulajdonságok

Cikkazonosító: 914392 - Utolsó ellenőrzés: 02/15/2007 06:38:00 - Verziószám: 1.4

  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbinfo KB914392
Visszajelzés